Как защитить карту с бесконтактной оплатой: страховая услуга Сбербанка от мошенничества, кошелек от считывания, как еще обезопасить пластиковые устройства?

Рейтинг автора

Автор статьи

Иванов Сергей Андреевич

Технический специалист по функциям бесконтактной оплаты

Написано статей

Бесконтактные платежи завоевывают российский рынок. С каждым днем в магазинах проводится все больше бесконтактных операций и спрос на них только растет. Более 30 тысяч торговых точек в оперативном порядке оснастили свои залы аппаратами для приема инновационных карточек, банки тоже не отстают и предлагают своим банковским клиентам пластиковые носители с технологией NFC.

К сожалению, вместе с распространением новой технологии возникли и не известные до этого времени виды мошенничества. Где бесконтактные карты дали слабину и как избежать несанкционированного снятия средств, читайте в статье!

Уязвимость пластиковой карточки для бесконтактной оплаты

Бесконтактные карты дают возможность совершать как большие, так и маленькие платежи.

Если речь идет о сумме до 1000 рублей, то не понадобится даже ПИН-код, достаточно будет приложить карту к терминалу, подождать проведения операции и пойти дальше.

Данные бесконтактной карты передаются к терминалу, и эта информация не настолько защищена, как хотелось бы пользователю. Сведения может прочитать посторонний, в некоторых случаях для этого достаточно лишь смартфона с поддержкой NFC. В частности, никак не защищен от считывания номер карты и срок ее действия и суммы последних транзакций.

Недолгий поиск в Сети позволил найти десятки магазинов, где покупки можно осуществить без “присутствия карты” по Интернету или в телефонном режиме. Для этого потребуется иметь как раз данные, которые злоумышленники могут получить не особо напрягаясь.

Это не миф, указанный способ, к сожалению, уже стал основной для создания многих схем несанкционированного снятия средств.

Как воруют данные?

NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Технология предусматривает инициатора платежа и ее цель. При этом, инициатор создает активное поле, которое цель считает в пассивном режиме. Наиболее простой способ добыть секретные данные и совершить хищение – это получить доступ к информации, передаваемой по NFC.

То, что это возможно и легко сделать, доказали ученые из британского Университета Суррей. Они в ходе эксперимента сумели считать данные, передаваемые по закрытому каналу во время транзакций в супермаркете.

Исследователи использовали портативные гаджеты, которые у покупателей подозрений не вызвали. Для получения сведений по карте достаточно было разместить их на расстоянии 45 сантиметров от терминала бесконтактной оплаты.

Еще одним информационным поводом, вызвавшим жаркие обсуждения, стала фотография человека в метро с терминалом для бесконтактной оплаты. Общественность, естественно, не узнала, с какой целью тот человек носил с собой аппарат, но выяснила, что он мог быть использован и для хищения средств.

Теоретически такой терминал может инициировать снятие средств с карты, если удачно приложить его к карману прохожего с картой NFC.

Появление вирусов, нацеленных на хищение данных карт, было лишь делом времени, и они уже появились.

Испанские хакеры, например, создали вредоносную программу для Android. Она начинает передавать данные, когда смартфон оказывается в непосредственной близости от карты. Наконец, целью хакеров может стать само приложение для приема бесконтактных платежей в смартфоне.

Встроенная защитная система и возможности ее обхода

Разработчики карт с бесконтактными платежами постарались максимально защитить пользователей, поэтому вместо постоянно CVV кода, расположенного на обратной стороне классического пластикового носителя, придумали генерируемый во время каждой операции код.

Это дает владельцам карты следующую защиту: мошенник, считавший данные карты, не сможет использовать полученные сведения во второй или третий раз.

Цель самого “простого и необременительного” хищения средств через NFC заключается в использовании сгенерированного кода раньше, чем это сделает владелец карты. Средства списываются со счета в адрес злоумышленника, а первоочередная операция не выполняется и терминал выбивает ошибку.

Таким способом можно похитить у владельца карты не больше 1000 рублей, но потерю и такой суммы вместо покупки можно назвать значительной неприятностью.

Если генерируемым кодом завладели мошенники и пользователь не смог провести операцию, банк в целях безопасности может заблокировать карту.

Страховая услуга от Сбербанка

Спрос на дополнительную защиту карт порождает предложение, и крупнейшая финансовая организация России уже предлагает своим клиентам защитить сбережения на любых картах, выпущенных Сбербанком, в том числе карты Сбербанка с бесконтактной оплатой.

Компания предлагает защитить свои средства от несанкционированного снятия, оформив полис в режиме онлайн. В зависимости от суммы страхового покрытия, можно купить полис длительностью 1 год за:

1 161 рублей (сумма возмещения 60 000 рублей);
1 710 рублей (сумма возмещения 120 000 рублей);
5 310 рублей с суммой покрытия расходов от деятельности злоумышленников на сумму 350 000 рублей.

Мошенничество: изготовление дубликата сим-карты

Владельцы карточек с бесконтактной оплатой должны быть в курсе еще одного вида мошенничества – они создают дубликат сим-карты.

Схема мошенничества подразумевает два этапа:

Злоумышленники звонят клиенту, представляются сотрудниками банка, пенсионного фонда или другой структуры, чтобы не вызвать подозрений, и просят назвать паспортные данные. Иногда в дополнение просят перезвонить.
И вот злоумышленник уже имеет в распоряжении все необходимые для перевыпуска сим-карты сведения – а именно паспортные данные, номер телефона, дату и номер последнего совершенного звонка.
После получения карты дубликата, мошенники получают возможность подтверждать платежи даже без ведома хозяина карты.

Следует немедленно заблокировать все карты, которые привязаны к номеру, попавшему в руки злоумышленника, и обратиться к оператору, чтобы он заблокировал карту-дубликат, при помощи которой похищали деньги.

Предлагаем ознакомиться с такими материалами о бесконтактной оплате:

оплата Тинькофф с карты, смартфона и NFC-кольца и можно ли оплатить услуги ЖКХ и снять наличные по QR-коду;
как происходит оплата по QR коду через Сбербанк онлайн, можно ли оплачивать покупки и услуги телефоном вместо карты;
о системе бесконтактной оплаты картой Сбербанка;
как совершать оплату картой Qiwi PayWave, сервисом MirPay, с приложения “Яндекс.Деньги”, кредитками PayPass или PayWave.

Общие рекомендации

Эксперты советуют придерживаться некоторых правил в обращении с бесконтактными картами, чтобы минимизировать риски похищения данных мошенниками. Хотя рекомендации и не могут служить 10% гарантией защиты карты, они снизят вероятность несанкционированного снятия средств.

Расплачивайтесь сами, никогда не передавайте карту в руки кассира, продавца, менеджера, официанта или охранника.
Смотрите, какую сумму вел продавец на терминале, она должна соответствовать суме покупке, никаких комиссий у таких платежей нет.
Подключите SMS-уведомление, даже если за услугу придется доплачивать.
Следите за картой, носите ее так, чтобы минимизировать возможность выронить, потерять, закрывайте карманы и сумки.
Носите карту так, чтобы между ней и ближайшими людьми сохранялось расстояние в десять и более сантиметров. Лучше будет положить кредитку в глубокий карман сумки или рюкзака рядом с металлическими предметами.
Уменьшите лимит на оплату без ПИН-кода с 1000 на меньшую сумму.
Установите на ваш смартфон антивирус.

Как защитить от считывания и сканирования посторонними?

Выполнив общие рекомендации пользователям рекомендуется озаботиться и физической защитой карты:

Поскольку многие мошенники пытаются считать данные с карты в тот момент, когда она не используется, советуем попробовать осложнить передачу данных при помощи металлических объектов, действует даже пищевая фольга и фольга для запекания – главное, чтобы она была металлизированной.
Но, предупреждаем сразу, что не все металлические экраны способны полностью блокировать считывание сведений.
Еще один способ экранирования менее экзотический, он заключается ношении нескольких бесконтактных карт вместе, например, в одном отделении сумки или кошелька. Хорошо, если пластиковые носители выпустили разные банки, поскольку они работают на иных частотах.

Что это нам дает? Сканер будет получать отклик от нескольких чипов сразу, что осложнит их расшифровку. Методика работает только в случае со сканерами и терминалами.

Экранирующие бумажники, кошельки, портмоне и чехлы

Экранирующий чехол призван выполнять ту же функции, что и металлизированные предметы. Он защищает информацию от взлома и копирования, а в дополнение к этому бережет карту от размагничивания, механических повреждений и износа.

В последнее время именно этот способ защиты набрал популярность среди владельцев карт NFC, ведь это не только безопасно, но и стильно. Помните, что экранированный кошелек или чехол лучше покупать у официального производителя, чтобы исключить возможность брака.

Как обезопасить от фальшивых покупок?

Чтобы не переживать о том, что с карты снимет средства посторонний, достаточно ответственно относиться к платежному инструменту. Хранить его в дальнем кармане, подключить смс-информирование о снятии средств и не передавать карту в третьи руки.

Кроме того, владельцы современных смартфонов могут использовать именно их, чтобы осуществлять бесконтактную оплату.

Кажется, пока еще человечество не придумало платежных карт, которые были бы неуязвимыми, поэтому владельцы бесконтактных карточек должны также позаботиться о своей безопасности.

В статье мы рассказали о слабом месте технологии и о том, какие мошенники используют методы, чтобы добраться до чужих средств. Предупреждены, значит вооружены. Руководствуйтесь общими рекомендациями по безопасности и вы не станете жертвой мошенников.

Полезное видео

Предлагаем посмотреть видео о том, насколько безопасны бесконтактные платежи картой: